AWS Client VPN の仕組み - AWS Client VPN

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Client VPN の仕組み

では AWS Client VPN、クライアントVPNエンドポイントとやり取りするユーザーペルソナには、管理者とクライアントの 2 種類があります。

管理者は、サービスの設定と設定を担当します。これには、クライアントVPNエンドポイントの作成、ターゲットネットワークの関連付け、認可ルールの設定、および追加のルートの設定 (必要な場合) が含まれます。クライアントVPNエンドポイントをセットアップして設定すると、管理者はクライアントVPNエンドポイント設定ファイルをダウンロードし、アクセスが必要なクライアントに配布します。クライアントVPNエンドポイント設定ファイルには、クライアントVPNエンドポイントDNSの名前と、VPNセッションを確立するために必要な認証情報が含まれています。サービス設定の詳細については、「の使用を開始する AWS Client VPN」を参照してください。

クライアントはエンドユーザーです。これは、クライアントVPNエンドポイントに接続してVPNセッションを確立するユーザーです。クライアントは、オープンVPNベースのVPNクライアントアプリケーションを使用して、ローカルコンピュータまたはモバイルデバイスからVPNセッションを確立します。VPN セッションが確立されると、関連付けられたサブネットがある VPC 内のリソースに安全にアクセスできます。必要なルートと認可ルールが設定されている場合は、 AWS、オンプレミスネットワーク、または他のクライアントの他のリソースにもアクセスできます。クライアントVPNエンドポイントに接続してVPNセッションを確立する方法の詳細については、「 AWS Client VPN ユーザーガイド」の「開始方法https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html」を参照してください。

次の図は、基本的なクライアントVPNアーキテクチャを示しています。

クライアントVPNアーキテクチャ

クライアントのシナリオと例 VPN

AWS Client VPN は、クライアントが AWS とオンプレミスネットワークの両方内のリソースに安全にアクセスできるようにするフルマネージド型のリモートアクセスVPNソリューションです。アクセスの設定方法には複数のオプションがあります。このセクションでは、クライアントのクライアントVPNアクセスを作成および設定する例を示します。

シナリオ

このシナリオ AWS Client VPN の設定には、単一のターゲット が含まれますVPC。クライアントに 1 つの 内のリソースのみへのアクセスを許可する必要がある場合は、この設定をお勧めしますVPC。

VPN にアクセスするクライアント VPC

開始する前に、以下を実行します。

  • 少なくとも 1 つのサブネットVPCを持つ を作成または識別します。クライアントVPNエンドポイントVPCに関連付ける のサブネットを特定し、そのIPv4CIDR範囲を書き留めます。

  • と重複しないクライアント IP アドレスに適したCIDR範囲を特定しますVPCCIDR。

  • のクライアントVPNエンドポイントのルールと制限を確認しますAWS Client VPNを使用するためのルールとベストプラクティス

この設定を実装するには
  1. と同じリージョンにクライアントVPNエンドポイントを作成しますVPC。これを行うには、「AWS Client VPN エンドポイントを作成する」で説明されているステップを実行します。

  2. サブネットをクライアントVPNエンドポイントに関連付けます。これを行うには、「」で説明されているステップを実行し、先ほど特定VPCしたサブネットと ターゲットネットワークを AWS Client VPN エンドポイントに関連付けるを選択します。

  3. 認可ルールを追加して、クライアントに へのアクセスを許可しますVPC。これを行うには、「」で説明されているステップを実行し承認ルールを追加する送信先ネットワークに IPv4CIDRの範囲を入力しますVPC。

  4. リソースのセキュリティグループにルールを追加して、ステップ 2 でサブネットの関連付けに適用されたセキュリティグループからのトラフィックを許可します。詳細については、「セキュリティグループ」を参照してください。

このシナリオ AWS Client VPN の設定には、追加の VPC (VPC B) とピアリング接続されたターゲット VPC (VPC A) が含まれます。ターゲット内のリソースVPCと、ターゲットとピア接続されている他のリソース (VPCB など) へのアクセスをクライアントに許可する必要がある場合VPCsは、この設定をお勧めします。

注記

クライアントVPNエンドポイントが分割トンネルモードに設定されている場合にのみ、ピアリングされた VPC (ネットワーク図に従って概説された) へのアクセスを許可する手順が必要です。フルトンネルモードでは、ピアリングされた へのアクセスVPCがデフォルトで許可されます。

ピアVPNにアクセスするクライアント VPC

開始する前に、以下を実行します。

  • 少なくとも 1 つのサブネットVPCを持つ を作成または識別します。クライアントVPNエンドポイントVPCに関連付ける のサブネットを特定し、そのIPv4CIDR範囲を書き留めます。

  • と重複しないクライアント IP アドレスに適したCIDR範囲を特定しますVPCCIDR。

  • のクライアントVPNエンドポイントのルールと制限を確認しますAWS Client VPNを使用するためのルールとベストプラクティス

この設定を実装するには
  1. 間のVPCピアリング接続を確立しますVPCs。「Amazon VPCピアリングガイド」の「ピアリング接続の作成と受け入れ」の手順に従います。 VPC VPC A のインスタンスがピアリング接続を使用して VPC B のインスタンスと通信できることを確認します。

  2. ターゲット と同じリージョンにクライアントVPNエンドポイントを作成しますVPC。この図では、これは VPC A です。「」で説明されているステップを実行しますAWS Client VPN エンドポイントを作成する

  3. 識別したサブネットを、作成したクライアントVPNエンドポイントに関連付けます。これを行うには、「」で説明されているステップを実行しターゲットネットワークを AWS Client VPN エンドポイントに関連付ける、 VPCとサブネットを選択します。デフォルトでは、 のデフォルトのセキュリティグループをクライアントVPNエンドポイントVPCに関連付けます。「AWS Client VPN のターゲットネットワークにセキュリティグループを適用する」で説明している手順を使用して、別のセキュリティグループを関連付けることができます。

  4. クライアントにターゲット へのアクセスを許可する承認ルールを追加しますVPC。これを行うには、「承認ルールを追加する」で説明されているステップを実行します。送信先ネットワークで を有効にするには、 IPv4CIDRの範囲を入力しますVPC。

  5. ピアリングされた にトラフィックを誘導するルートを追加しますVPC。この図では、これは VPC B です。これを行うには、「」で説明されているステップを実行しますAWS Client VPN エンドポイントルートの作成ルート送信先には、ピアリングされた IPv4CIDRの範囲を入力しますVPC。ターゲットVPCサブネット ID で、クライアントVPNエンドポイントに関連付けたサブネットを選択します。

  6. 認可ルールを追加して、クライアントにピア接続された へのアクセスを許可しますVPC。これを行うには、「承認ルールを追加する」で説明されているステップを実行します。送信先ネットワークには、ピアリングされた IPv4CIDRの範囲を入力しますVPC。

  7. A と VPC B VPC のインスタンスのセキュリティグループにルールを追加して、ステップ 3 でクライアントVPNエンドポイントに適用されたセキュリティグループからのトラフィックを許可します。詳細については、「セキュリティグループ」を参照してください。

このシナリオ AWS Client VPN の設定には、オンプレミスネットワークへのアクセスのみが含まれます。クライアントにオンプレミスネットワーク内のリソースへのアクセスのみを許可する必要がある場合は、この設定をお勧めします。

オンプレミスネットワークVPNにアクセスするクライアント

開始する前に、以下を実行します。

  • 少なくとも 1 つのサブネットVPCを持つ を作成または識別します。クライアントVPNエンドポイントVPCに関連付ける のサブネットを特定し、そのIPv4CIDR範囲を書き留めます。

  • と重複しないクライアント IP アドレスに適したCIDR範囲を特定しますVPCCIDR。

  • のクライアントVPNエンドポイントのルールと制限を確認しますAWS Client VPNを使用するためのルールとベストプラクティス

この設定を実装するには
  1. 接続を介して AWS Site-to-Site VPN VPCと独自のオンプレミスネットワーク間の通信を有効にします。これを行うには、AWS Site-to-Site VPN ユーザーガイドの「開始方法」で説明されているステップを実行します。

    注記

    または、 VPCとオンプレミスネットワーク間の AWS Direct Connect 接続を使用して、このシナリオを実装することもできます。詳細については、AWS Direct Connect ユーザーガイドをご参照ください。

  2. 前のステップで作成した AWS Site-to-Site VPN 接続をテストします。これを行うには、「 AWS Site-to-Site VPN ユーザーガイド」のVPN「接続の Site-to-Siteテスト」で説明されているステップを実行します。VPN 接続が正常に機能している場合は、次のステップに進みます。

  3. と同じリージョンにクライアントVPNエンドポイントを作成しますVPC。これを行うには、「AWS Client VPN エンドポイントを作成する」で説明されているステップを実行します。

  4. 前に特定したサブネットをクライアントVPNエンドポイントに関連付けます。これを行うには、「」で説明されているステップを実行しターゲットネットワークを AWS Client VPN エンドポイントに関連付ける、 VPC とサブネットを選択します。

  5. AWS Site-to-Site VPN 接続へのアクセスを許可するルートを追加します。これを行うには、「」で説明されているステップを実行しますAWS Client VPN エンドポイントルートの作成ルートの送信先には接続IPv4CIDRの範囲 AWS Site-to-Site VPNを入力し、ターゲットVPCサブネット ID にはクライアントVPNエンドポイントに関連付けられたサブネットを選択します。

  6. クライアントに AWS Site-to-Site VPN 接続へのアクセスを許可するための承認ルールを追加します。これを行うには、「」で説明されているステップを実行しますAWS Client VPN エンドポイントに承認ルールを追加する送信先ネットワークの場合は、接続IPv4CIDR範囲を入力します AWS Site-to-Site VPN。

このシナリオ AWS Client VPN の設定には、単一のターゲットVPCとインターネットへのアクセスが含まれます。クライアントに単一のターゲット内のリソースへのアクセスを許可VPCし、インターネットへのアクセスを許可する必要がある場合は、この設定をお勧めします。

の使用を開始する AWS Client VPN チュートリアルが完了している場合、このシナリオはすでに実装されていることになります。

インターネットVPNにアクセスするクライアント

開始する前に、以下を実行します。

  • 少なくとも 1 つのサブネットVPCを持つ を作成または識別します。クライアントVPNエンドポイントVPCに関連付ける のサブネットを特定し、そのIPv4CIDR範囲を書き留めます。

  • と重複しないクライアント IP アドレスに適したCIDR範囲を特定しますVPCCIDR。

  • のクライアントVPNエンドポイントのルールと制限を確認しますAWS Client VPNを使用するためのルールとベストプラクティス

この設定を実装するには
  1. クライアントVPNエンドポイントに使用するセキュリティグループで、インターネットへのアウトバウンドトラフィックが許可されていることを確認します。これを行うには、 HTTPおよび トラフィックのトラフィックを 0.0.0.0/0 に許可するアウトバウンドルールを追加しますHTTPS。

  2. インターネットゲートウェイを作成し、 にアタッチしますVPC。詳細については、「Amazon VPCユーザーガイド」の「インターネットゲートウェイの作成とアタッチ」を参照してください。

  3. インターネットゲートウェイへのルートをそのルートテーブルに追加して、サブネットを公開します。VPC コンソールで、サブネットを選択し、クライアントVPNエンドポイントに関連付けるサブネットを選択し、ルートテーブルを選択してから、ルートテーブル ID を選択します。[アクション] を選択し、[Edit routes (ルートの編集)] を選択して、[Add route (ルートの追加)] を選択します。[送信先] に、0.0.0.0/0 を入力し、[ターゲット] で、前のステップからインターネットゲートウェイを選択します。

  4. と同じリージョンにクライアントVPNエンドポイントを作成しますVPC。これを行うには、「AWS Client VPN エンドポイントを作成する」で説明されているステップを実行します。

  5. 前に特定したサブネットをクライアントVPNエンドポイントに関連付けます。これを行うには、「」で説明されているステップを実行しターゲットネットワークを AWS Client VPN エンドポイントに関連付ける、 VPC とサブネットを選択します。

  6. 認可ルールを追加して、クライアントに へのアクセスを許可しますVPC。これを行うには、承認ルールを追加する「」で説明されているステップを実行し、送信先ネットワークで を有効にするには、 IPv4CIDRの範囲を入力しますVPC。

  7. インターネットへのトラフィックを可能にするルートを追加します。これを行うには、「」で説明されているステップを実行しますAWS Client VPN エンドポイントルートの作成ルートの送信先には「」と入力し0.0.0.0/0ターゲットVPCサブネット ID にはクライアントVPNエンドポイントに関連付けられたサブネットを選択します。

  8. 承認ルールを追加して、クライアントにインターネットへのアクセスを許可します。これを行うには、「承認ルールを追加する」で説明されているステップを実行し、送信先ネットワークとして「0.0.0.0/0」と入力します。

  9. 内のリソースのセキュリティグループに、クライアントVPNエンドポイントに関連付けられたセキュリティグループからのアクセスを許可するルールVPCがあることを確認します。これにより、クライアントは のリソースにアクセスできますVPC。

このシナリオ AWS Client VPN の設定により、クライアントは単一の にアクセスしVPC、クライアントはトラフィックを相互にルーティングできます。同じクライアントVPNエンドポイントに接続するクライアントも相互に通信する必要がある場合は、この設定をお勧めします。クライアントは、クライアントVPNエンドポイントに接続するときにクライアントCIDR範囲から割り当てられた一意の IP アドレスを使用して相互に通信できます。

Client-to-client アクセス

開始する前に、以下を実行します。

  • 少なくとも 1 つのサブネットVPCを持つ を作成または識別します。クライアントVPNエンドポイントVPCに関連付ける のサブネットを特定し、そのIPv4CIDR範囲を書き留めます。

  • と重複しないクライアント IP アドレスに適したCIDR範囲を特定しますVPCCIDR。

  • のクライアントVPNエンドポイントのルールと制限を確認しますAWS Client VPNを使用するためのルールとベストプラクティス

注記

Active Directory グループまたは ベースの IdP グループを使用するネットワークSAMLベースの承認ルールは、このシナリオではサポートされていません。

この設定を実装するには
  1. と同じリージョンにクライアントVPNエンドポイントを作成しますVPC。これを行うには、「AWS Client VPN エンドポイントを作成する」で説明されているステップを実行します。

  2. 前に特定したサブネットをクライアントVPNエンドポイントに関連付けます。これを行うには、「」で説明されているステップを実行しターゲットネットワークを AWS Client VPN エンドポイントに関連付ける、 VPC とサブネットを選択します。

  3. ルートテーブルのローカルネットワークにルートを追加します。これを行うには、「AWS Client VPN エンドポイントルートの作成」で説明されているステップを実行します。ルート送信先にはクライアントCIDR範囲を入力し、ターゲットVPCサブネット ID には を指定しますlocal

  4. 認可ルールを追加して、クライアントに へのアクセスを許可しますVPC。これを行うには、「承認ルールを追加する」で説明されているステップを実行します。送信先ネットワークで を有効にするには、 IPv4CIDRの範囲を入力しますVPC。

  5. クライアントにクライアントCIDR範囲へのアクセスを許可する承認ルールを追加します。これを行うには、「承認ルールを追加する」で説明されているステップを実行します。有効にする送信先ネットワークには、クライアントCIDR範囲を入力します。

AWS Client VPN エンドポイントを設定して、 内の特定のリソースへのアクセスを制限できますVPC。ユーザーベースの認証では、クライアントVPNエンドポイントにアクセスするユーザーグループに基づいて、ネットワークの一部へのアクセスを制限することもできます。

セキュリティグループを使用してアクセスを制限する

ターゲットネットワーク関連付け (クライアントセキュリティグループ) に適用されたセキュリティグループを参照するセキュリティグループルールを追加または削除VPCすることで、 内の特定のリソースへのアクセスを許可または拒否できますVPN。この設定は「クライアントVPCを使用して にアクセスする VPN」で説明されているシナリオに拡張します。この設定は、そのシナリオで設定された承認ルールに加えて適用されます。

特定のリソースへのアクセスを許可するには、リソースが実行されているインスタンスに関連付けられているセキュリティグループを特定します。次に、クライアントVPNセキュリティグループからのトラフィックを許可するルールを作成します。

次の図では、セキュリティグループ A はクライアントVPNセキュリティグループ、セキュリティグループ B はEC2インスタンス、セキュリティグループ C はEC2インスタンスに関連付けられています。セキュリティグループ A からのアクセスを許可するルールをセキュリティグループ B に追加すると、クライアントはセキュリティグループ B に関連付けられているインスタンスにアクセスできます。セキュリティグループ C に、セキュリティグループ A からのアクセスを許可するルールがない場合、クライアントはセキュリティグループ C に関連付けられたインスタンスにアクセスできません。

のリソースへのアクセスの制限 VPC

開始する前に、クライアントVPNセキュリティグループが 内の他のリソースに関連付けられているかどうかを確認しますVPC。クライアントVPNセキュリティグループを参照するルールを追加または削除する場合、他の関連リソースへのアクセスを許可または削除することもできます。これを防ぐには、クライアントVPNエンドポイントで使用するために特別に作成されたセキュリティグループを使用します。

セキュリティグループルールを作成するには
  1. で Amazon VPCコンソールを開きますhttps://console.aws.amazon.com/vpc/

  2. ナビゲーションペインで、[Security Groups] を選択します。

  3. リソースが実行されているインスタンスに関連付けられているセキュリティグループを選択します。

  4. [アクション]、[Edit inbound rules (インバウンドルールの編集)] の順に選択します。

  5. [ルールの追加] を選択し、次の操作を行います。

    • [タイプ] で、[すべてのトラフィック]、または許可する特定のタイプのトラフィックを選択します。

    • ソース で、カスタム を選択し、クライアントVPNセキュリティグループの ID を入力または選択します。

  6. [Save Rules (ルールの保存)] を選択します。

特定のリソースへのアクセスを削除するには、リソースが実行されているインスタンスに関連付けられているセキュリティグループを確認します。クライアントVPNセキュリティグループからのトラフィックを許可するルールがある場合は、削除します。

セキュリティグループルールを確認するには
  1. で Amazon VPCコンソールを開きますhttps://console.aws.amazon.com/vpc/

  2. ナビゲーションペインで、[Security Groups] を選択します。

  3. [Inbound Rules (インバウンドルール)] を選択します。

  4. ルールのリストを確認します。Source がクライアントVPNセキュリティグループであるルールがある場合は、ルールの編集を選択し、ルールの削除 (x アイコン) を選択します。[Save Rules] (ルールの保存) を選択します。

ユーザーグループに基づいてアクセスを制限する

クライアントVPNエンドポイントがユーザーベースの認証用に設定されている場合、特定のユーザーグループにネットワークの特定の部分へのアクセスを許可できます。そのためには、以下のステップを完了します。

  1. AWS Directory Service または IdP でユーザーとグループを設定します。詳細については、以下の各トピックを参照してください。

  2. ネットワークの全部または一部への指定されたグループアクセスを許可するクライアントVPNエンドポイントの認可ルールを作成します。詳細については、「AWS Client VPN 認可ルール」を参照してください。

クライアントVPNエンドポイントが相互認証用に設定されている場合、ユーザーグループを設定することはできません。承認ルールを作成するときは、すべてのユーザーにアクセスを許可する必要があります。特定のユーザーのグループがネットワークの特定の部分にアクセスできるようにするには、複数のクライアントVPNエンドポイントを作成できます。たとえば、ネットワークにアクセスするユーザーグループごとに、次の操作を実行します。

  1. そのユーザーグループに対して、サーバー証明書、クライアント証明書、およびキーのセットを作成します。詳細については、「での相互認証 AWS Client VPN」を参照してください。

  2. クライアントVPNエンドポイントを作成します。詳細については、「AWS Client VPN エンドポイントを作成する」を参照してください。

  3. ネットワークのすべてまたは一部へのアクセスを許可する承認ルールを作成します。たとえば、管理者が使用するクライアントVPNエンドポイントの場合、ネットワーク全体へのアクセスを許可する承認ルールを作成できます。詳細については、「承認ルールを追加する」を参照してください。